注意
本文适用于公共存储库中的存储库级别安全公告。 要在 GitHub Advisory Database 中编辑全局安全公告,请参阅 在 GitHub Advisory Database 中编辑安全公告。
Editing a security advisory
You can also use the REST API to edit repository security advisories. For more information, see 适用于存储库安全公告的 REST API 终结点.
-
在 GitHub 上,导航到存储库的主页面。
-
在存储库名称下,单击 Security and quality 选项卡。如果看不到“ Security and quality”选项卡,请选择 下拉菜单,然后单击 Security and quality。
-
在左边栏中的“Reporting”下,单击 “Advisories”****。
-
In the "Security Advisories" list, click the name of the security advisory you'd like to edit.
-
In the upper-right corner of the details for the security advisory, click Edit advisory. This will open the security advisory form in edit mode.
-
使用“CVE 标识符”下拉菜单指定是否已有 CVE 标识符,或计划在以后向 GitHub 请求一个 CVE 标识符。 如果你有现有的 CVE 标识符,请选择“我有现有的 CVE 标识符”以显示“现有 CVE”字段,并在字段中键入 CVE 标识符。 有关详细信息,请参阅“存储库安全公告”。
-
在“说明”字段中,键入安全漏洞的说明,包括其影响、任何可用的修补程序或解决方法以及任何参考。
-
在“受影响产品”下,定义此安全公告描述的安全漏洞的生态系统、包名称、受影响/修补版本和易受攻击的功能。 如果适用,可以通过单击“添加另一个受影响产品”,将多个受影响的产品添加到同一公告中。
有关如何在窗体上指定信息(包括受影响的版本)的信息,请参阅“编写存储库安全公告的最佳做法”。
-
使用“严重性”下拉菜单定义安全漏洞的严重性。 如果要计算 CVSS 分数,请选择“使用 CVSS 评估严重性”,然后在“计算器”中选择适当的值。 GitHub 根据通用漏洞评分系统计算器计算分数。
-
在“漏洞”下的“常见漏洞枚举器”字段中,键入描述此安全公告报告的安全漏洞类型的常见漏洞枚举器 (CWE)。 有关 CWE 的完整列表,请参阅 MITRE 中的“常见弱点枚举”。
-
Optionally, under "Credits", remove existing credits, or use the search box to find additional people you want to credit on the security advisory, then click their username to add them.
-
Use the dropdown menu next to the name of the person you're crediting to assign a credit type. For more information about credit types, see 创建存储库安全公告.
-
Optionally, to remove someone, click the next to the credit type.
-
-
Click Update security advisory.
“Credits(积分)”部分列出的人员将会收到邀请他们接受积分的电子邮件或 web 通知。 如果某人接受,则其用户名将在安全通告发布后公开可见。